- •Лекція 4 віруси як шкідливе програмне забезпечення План лекції:
- •1. Класифікація комп'ютерних вірусів
- •2. Систематизація комп’ютерних вірусів
- •3. Файлові віруси
- •Види файлових вірусів
- •Алгоритм роботи файлового вірусу
- •Приклади файлових вірусів
- •4. Завантажувальні (бутові) віруси
- •Класифікаційний код завантажувального вірусу
- •Дескриптор завантажувального вірусу
- •Сигнатура бутового вірусу
- •Принцип дії завантажувальних вірусів
- •Розташування завантажувального вірусу
- •Алгоритм роботи завантажувального вірусу
- •Приклади завантажувальних вірусів
- •5. Макро-віруси
- •Причини зараження макро-вірусами
- •Загальні відомості про віруси в ms Office
- •Принципи роботи Word/Excel/Office-вірусів
- •Алгоритм роботи Word макро-вірусів
- •Алгоритм роботи Excel макро-вірусів
- •Алгоритм роботи вірусів для Access
- •Приклади макро-вірусів
- •6. Мережеві віруси
- •Приклади мережевих вірусів
- •7. Стелс-віруси
- •Приклади стелс-вірусів
- •8. Поліморфік-віруси
- •Поліморфні розшифровувачі
- •Рівні поліморфізму
- •Зміна виконуваного коду
- •9. Способи захисту від вірусів
- •Систематичне архівування важливої інформації
- •Обмеження ненадійних контактів
- •Використання антивірусних програм
- •Види антивірусних програм
- •Контрольні питання до Лекції 4
Приклади мережевих вірусів
mIRC.Acoragil і mIRC.Simpsalapim. Перші відомі mIRC-хробаки виявлені наприкінці 1997 року. Назви одержали по кодових словах, що використовуються хробаками: якщо в тексті, переданому в канал будь-яким користувачем, присутній рядок "Acoragil", то всі користувачі, заражені хробаком mIRC.Acoragil автоматично відключаються від каналу. Те саме відбувається з хробаком mIRC. Simpsalapim – він аналогічно реагує на рядок "Simpsalapim". При розмноженні хробаки командами mIRC пересилають свій код у файлі SCRIPT. INI кожному новому користувачу, що підключається до каналу. Містять троянську частину. Хробак mIRC.Simpsalapim містить код захоплення каналу IRC – якщо mIRC власника каналу заражений, то по введенню кодового слова "ananas", зловмисник перехоплює керування каналом. Хробак mIRC. Acoragil по кодових словах пересилає системні файли OC. Деякі кодові слова обрані так чином, що не привертають уваги жертви – hi, cya чи the. Одна з модифікацій цього хробака пересилає зловмиснику файл паролів UNIX.
Win95.Fono. Небезпечний резидентный файлово-завантажувальний поліморфік-вірус. Використовує mIRC як один із способів свого поширення: перехоплює системні події Windows і при запуску файла MIRC32.EXE активізує свою mIRC-процедуру. При цьому відкриває файл MIRC.INI і записує в його кінець команду, що знімає захист:
[fileserver]
Warning=Off .
Потім створює файли SCRIPT.INI і INCA.EXE. Файл INCA.EXE містить дроппер вірусу, скрипт файла SCRIPT.INI пересилає себе і цей дроппер у канал IRC кожному, хто приєднується до каналу або виходить з нього.
pIRCH.Events. Перший відомий PIRCH-хробак. Розсилає себе кожному користувачу, що приєднався. По ключових словах виконує різні дії, наприклад:
по команді ".query" відбувається свого роду переклик, по якому заражені системи відповідають <Так, я вже заражена>;
по команді ".exit" завершує роботу клієнта;
По інших командах хробак видаляє всі файли з диска С, надає доступ до файлів на зараженому комп'ютері і т.д.
IRC-Worm.Pron. Мережевий вірус-черв'як, зашифрований. Розмножується в IRC-каналах і використовує для свого розмноження mIRC-клієнта. Має дуже невелику довжину – всього 582 байти. Передається з мережі на комп'ютер у вигляді файла PR0N.BAT. При його запуску вірус копіює себе у файл PR0N.COM і запускає його на виконання. Заголовок вірусу влаштований таким чином, що він може виконуватися як BAT-, так і COM-програма, і в результаті управління передається на основну процедуру зараження системи. При зараженні системи вірус використовує дуже простий прийом: він копіює свій BAT-файл в поточний каталог і в каталог C\WINDOWS\SYSTEM (якщо такий відсутній, то вірус не заражає систему). Потім вірус записує свій код у файл WINSTART.BAT. Для розповсюдження свого коду через mIRC вірус створює новий файл SCRIPT.INI в каталозі mIRC-клієнта. Цей каталог вірус шукає за чотирма варіантами:
C\MIRC; C\MIRC32; C\PROGRA~1\MIRC; C\PROGRA~1\MIRC32 .
Скрипт вірусу містить всього одну команду – кожному користувачу, що підключається до зараженого каналу, передається вірусний файл PR0N.BAT. Вірус містить рядок-"копірайт".